NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in Next.js
Advisory ID     : NCSC-2025-0096
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2025-29927
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Authorization
Uitgiftedatum   : 20250325
Toepassing      : Vercel Next.js
Versie(s)       :
Platform(s)     :

Beschrijving
   Vercel heeft een kwetsbaarheid verholpen in Next.js (Specifiek voor
   versies 14.2.25 en 15.2.3)

   Next.js is een populair framework voor het ontwikkelen van web-
   applicaties. De kwetsbaarheid bevindt zich in de manier waarop
   Next.js authenticatiecontroles in de eigen middleware verwerkt. Dit
   stelt kwaadwillenden in staat om deze controles te omzeilen, wat kan
   leiden tot ongeautoriseerde toegang tot gevoelige gegevens en
   functionaliteiten, waaronder mogelijk de beheer-interface van de
   getroffen applicaties.

Mogelijke oplossingen
   Vercel heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
   Zie bijgevoegde referenties voor meer informatie. Indien het inzetten
   van de updates (nog) niet mogelijk is op korte termijn, heeft Vercel
   ook een mitigerende maatregel gepubliceerd, om het risico van
   misbruik te verkleinen.
   Blokkeer externe requests welke de header `x-middleware-subrequest`
   bevat.

   Referenties:
      Reference - ncscclear
      https://nextjs.org/blog/cve-2025-29927

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----

iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmfia58ACgkQytTOqyR+
cF9mhgv+I5XLCi5ck/0ZvnzJxpZHhP2Dk53QVfyEMFBmdeuiw+QNd88TIyPIV9Zw
Qe/6A3Xrd695N0tJB2pB7z/f5V0nl/Xr2UDjzGYKYITSgJ0V2uVfHdGtALsTfzx2
GH4dGPzMCgHKLCGoNSAdXYd1f+TEF2tRTXu6g7/GhSZlSemzqeSjpYZsDPIydpdA
97Wf5Qs6voI7grrVeTvSxozbRZnNkXPOKTTUq38nPD1O9VqIK/heU9V0Uv/Pmeby
HkW0P1VOKjBWWyoISWpfRL/IqMVrP8hVlnr/LXhEh7t+dpWvccfp8Vxy3O7bLpKH
vzRpXAN+mATAOwDbzHxcme1KcxD5wBEgsmnJAfHrYBfHVSkin8SRUyvaGBpoiovg
Cz3XXBINmL6gapUblJ1ouE3yu1wDyBixNRfVnxFrvxJe14VOaU8do1ivEOCKKIie
zGxKNgph7U7JUejOjfj7xYhS1P8ez4ZD590PIhEm6ic3KseRQlt+e0e3IHNo0QUb
Qn2+4N/Z
=E/Zb
-----END PGP SIGNATURE-----